lystn

Rossibel:Año 1994, un joven matemático de la provincia China de Shandong denombre Eric Yuan que hacía vida en Japón, tuvo la oportunidad deescuchar una conferencia de Bill Gates. Esto lo inspiró a emigrar aSilicón Valley en 1997.Cuando finalmente pudo llegar a los Estados Unidos se unió rápidamentecomo programador a una startup de videoconferencias llamada Webex,está se convertiría en uno de los protagonistas del mercado, tanto asíque en 2007 sería adquirida por Cisco Systems por 3,2 Billones de $.Yuan siguió trabajando en la compañía hasta llegar a Vicepresidente deIngeniería. Bajo su mando Webex alcanzó ventas anuales de 800M.La aplicación comenzaría a tener muchos problemas, la conexión erainestable, el audio y vídeo podían retrasarse. Yuan consciente deestos problemas y con una visión de crear una aplicación útil tambiénpara móviles y tabletas, presionó a sus superiores para implementar deinmediato estos cambios.Pero su proyecto fue rechazado. Yuan decide renunciar en 2011 y fundarsu propio negocio ¿Cómo lo llamo? ZOOM! Por suerte no estaba solo,muchos de los ingenieros de Webex se fueron con él y además, tuvo laconfianza de varios inversionistas, lo que le permitió levantar 3M $.Antes de irse, comentó que pasó mucho tiempo comunicándose con losclientes de Webex y con todas las quejas, formó una dirección, lasresumió todas dedicándose a crear una app que las resolviera.En dos años, para enero de 2013, lanza la primera versión siendo unéxito inmediato, en dos meses ya contaba con 1 millón de usuarios-Funcionaba en conexiones lentas -Videoconferencias en HD -Versiónpara dispositivos móviles. Todo esto por un precio inferior a lacompetencia.Ya en abril de 2019 se convierten en una empresa pública, con unavaloración de 16 Billones $. Lo demás es historia, en tan solo 14meses gracias al incremento en la demanda debido a la pandemiaalcanzan los 63 Billones $. Y desde inicio de año sus acciones se hanapreciado 205%.Pero… ¿Realmente Zoom es una aplicación segura?¿Estará Yuan realmente preparado para el desafío de otorgar seguridaden las comunicaciones de más de 300 millones de usuarios activos?¿Es la mejor aplicación en este momento para llamadas de conferencia?Mi nombre es Rossibel García y en este episodio estaremos analizandola trayectoria de esta aplicación y sus temas de Seguridad yPrivacidad… Te invito a que te quedes y resolvamos todas estas dudas.Jean: Bienvenido una vez más a este Podcast Tecnológico llamadoConciencia Virtual, mi nombre es Jean Carlos Gutierrez y estoy aquíacompañado de Rossibel, quienes juntos estaremos analizando si esseguro o no conectarse en la aplicación ZOOM. Hola Rossi, como estas?Has hecho un trabajo Genial con ese resumen histórico de Eric Yuan.Rossibel: aproveché estos días en cuarentena para investigar (Saludo a tu gusto y respuesta de la interacción) así que los invitamos a que se pongan cómodos para que disfruten de este nuevo episodio.Jean que te parece si hablamos de la decisión oficial porparte de Eric sobre aplicar cifrado end 2 end para todos los usuarios,rectractandose de la idea que solo el cifrado seria para las cuentasde pago.Jean: ¿Supiste la razón por la que se retractaba?Rossibel: Bueno Jean, desde el propio blog informaban que solo lascuentas pago iban a recibir el cifrado, y que sihabían conversaciones privadas, podrían abrirlas en “caso de sernecesario” si sospechaban que las cuentas estarían implicadas enactividades delictivas.Jean: Aquí volvemos con el tema Privacidad vs Seguridad, pero OJO noestoy refiriéndome a la Seguridad de la aplicación porque ha estadomuy insegura últimamente, sino la excusa que ofrecen los Gobiernos delmundo que quieren espiar a sus usuarios, diciendo que es por SeguridadNacional.Para mi esto es solo un simple pretexto que tiene la empresa paradecirte: Si estas en desde la opción gratuito, te sacaré el dinero contus datos personales. Porque para que ibas a descartar a tus usuariosde cuentas gratuitas al cifrado si en menos de un mes decíaspúblicamente que ibas a implementar Oracle Cloud Infrastructure pararespaldar el crecimiento y satisfacer la necesidades de los usuarios.Los usuarios claramente te están pidiendo mejor privacidad y túseguías sin querer otorgárselas.Rossibel: Jean, tengo entendido que esa función es para mejorar lademanda. Es decir la capacidad de usuarios ya superaba de manerasignificativa para con los servidores que estaban usando desde esemomento.Jean: Eso es totalmente cierto, pero yo también tengo otra hipótesis con ello.Eric viene jugando al CEO que le gusta complacer a Gobiernos,Rossibel: (forma de interrupción) Jean, algo que debemos considerar al analizar esto, es que ha sido prohibido su uso desde El Ministerio de Defensa del Reino Unido, Servicio Nacional de Salud del mismo, Gobiernos como la India oTaiwan, Ministerio de Defensa de Australia, el Ministerio de Asuntos Exteriores deAlemania, escuelas de Singapur, sin contar empresas estadounidensescomo SpaceX, Tesla, Bank of America, empresas Europeas como SiemensAG, Ericsson, Daimler AG, Standard Chartered, NXP Semiconductor NV yla filipina Smart Communications.Jean: Todo eso es cierto. Y todo era porque de sus 73 Servidores deconexión 5 de ellos estaban ubicados en China y no solo tenían laposibilidad de compartir a ti como usuario las claves que necesitabaspara entrar en una llamada de ZOOM con X persona, sino que tambiénexistía posibilidad que en esos servidores también pasara trafico deesa llamada y para nadie es un secreto que China en ocasiones lesexige a las empresas las llave de cifrado y si tu les das esecontenido entonces ellos podrían saber lo que estaba pasando en esaconversación.Cuando estas empresas y países se enteran de esto, claro que decidenprohibirlo. Cualquiera en su sano juicio habría pensando en lo mismo.Pero hace ratico te decía que Eric juega a complacer Gobiernos, si tucomo usuarios decides no usar la app porque tienes claro que algunasde sus llamadas pasan por servidores Chinos y luego como dueño de laempresa te anuncio que me estoy uniendo a Oracle, es para justodecirte, vente de nuevo, estoy de moda, ya estoy cumpliendo con tusrequisitos de usuario.Dejándote dicho que también han realizado censuras desde la propia appindicando que estaban cumpliendo con las leyes locales de China.Para mi este CEO va procurar complacer a todos los que puedan, siemprey cuando para mantenerse en el mercado del país y segundo para estaractivo en todos los países posibles.Rossibel: ¿Entonces bajo tu opinión el que se haya aplicado el cifradoes solo para complacer a la audiencia y seguir creando la confianza,en vez de mejorar en la Seguridad de la aplicación para que sea lo menosatacada posible?.Jean: Rossi, cuando esta aplicación fue utilizada desde elconfinamiento, esta aplicación se conectaba con las Api Grafica deFacebook. Entonces ZOOM recolectaba de ti (usando o no la aplicación)datos como: usuario, nombre completo, dirección física, correoelectrónico, numero telefónico y todo tipo de datos que pudieraidentificarte, sin contar información de tu trabajo, tarjetas decrédito y débito, información de tus cuentas de Facebook, tanto lapersonal como Fanpage y demás servicios que utilizaras de esa empresa.Como te estabas conectado, IP, Mac Address, Sistema Operativo, laversión.Todo esto era enviado a Facebook y a su vez esta empresa los usabapara cruzar la data y al administrador de la llamada podía indicarledonde estabas, si estabas prestando o no atención a la reunión porqueindicaba si la ventana esta activa o no, es más podías entrar a lasala de modo Anónimo y el Admin podía claramente saber que eras tu.Todo esto lo expuso en su momento Will Strafach un Investigador de IOSy cuando soltó la Bomba, lo que hizo ZOOM fue decir: Nosotrosestábamos usando la SDK de Facebook y no teníamos idea de lainformación innecesaria que estaba recopilando de nuestros usuarios,esas herramientas solo la usábamos para facilitar al usuario elingreso a nuestra plataforma. Actualmente eliminando todo eso para queluego tu actualizando la aplicación ya no tengas ese problema. Pedimosdisculpas y estamos comprometidos en la Seguridad de nuestrosusuarios.Rossibel: Si, recuerdo ese hecho, es más en esos mismos tiempos,veíamos en las noticias, como podías secuestrar una sala enparticular, a modo administrador y enviar material pornográfico atodos los integrantes de esa reunión.Claro ese no seria el único problema de Seguridad que tendría.Patrick Wardle, un ex-hacker de la NSA descubrió que un atacante localcon privilegios de usuario de bajo nivel puede inyectar al instaladorde Zoom código malicioso para obtener el nivel más alto de privilegiosde usuario ("root")Jean: Esos privilegios significan que el atacante puede acceder alsistema operativo macOS subyacente, que generalmente está prohibidopara la mayoría de los usuarios, lo que facilita la ejecución demalware o spyware sin que el usuario lo note.Rossibel: ahora, ¿qué otras fallas y vulnerabilidades has podido notar en esta aplicación?Jena: El segundo error explotaba una falla en cómo Zoom manejabala cámara web y el micrófono en Macs. Wardle dijo que un atacantepodía inyectar código malicioso en Zoom para engañarlo y darle alatacante el mismo acceso a la cámara web y al micrófono que Zoom yatiene. Una vez que se carga el código malicioso, "heredaráautomáticamente" alguno o todos los derechos de acceso de Zoom.También las vulnerabilidades recientemente parcheadasEn una que aprovechaba la forma como se utilizaba el servicio GIPHY(buscador de gifs) donde no se confirmaba si el archivo a compartirprovenía de ese servicio y a su vez tampoco verificaba el nombre delarchivo entonces el atacante podría hacerte llegar un gif infectado deun servidor tercero y hasta almacenarlo en tu carpeta de inicio.Y la otra vulnerabilidad era aprovecha la forma como enviaba ZOOMfragmentos de códigos, permitiendo al atacante plantar binariosarbitrarios en computadoras especificas, logrando la ejecución decódigo remota.Jean: Ahora, Rossi, si un usuario necesita usar la aplicación de Zoom luego de todo lo que te he comentado¿Que recomendaciones le darías para estar seguro en laaplicación?Rossibel: Eso es algo que deberías de decir tú! Pero yo también lasconozco. Tú me vas diciendo si voy bien o no!1. ¡Agregar una contraseña a todas las reuniones!2. Usar salas de espera3. Nunca compartir el ID de reunión por medios públicos4. Desactivar el uso compartido de la pantalla del participante5. Bloquear reuniones cuando todos se hayan unido6. Mantener Zoom actualizado7. Usar la autenticación multifactor (MFA)Pero ajá Jean, no has dicho si es preferible usar ZOOM o no?Jean: En realidad es una decisión final del usuario. Yo te podríadecir ahora mismo que la historia que hemos comentado se pareceMUCHÍSIMO a la historia de Whatsapp y no necesariamente el usuariotomaría la decisión de irse a otra plataforma. Y eso es por lacantidad de usuarios activos que hay en la plataforma.Si fuera así entonces ahora mismo Signal seria la aplicación demensajería más usada por ser públicamente más segura. Algo que intentaahora mismo mostrar ZOOM al liberarte en la plataforma de Github elcódigo con el que esta cifrando su aplicaciónRossibel: Pero Jean y liberando su código ¿No hace que la app sea másinsegura? Ya que otros usuarios pueden ver como funciona y con elloatacar.Jean: El que otros usuarios puedan usar ese código para tratar de crearnuevas maneras de atacar, también te puedo decir que la comunidadpuede ayudar a mejorar ese código, creando confianza endesarrolladores y comunidad que a su vez ayuda mucho a los usuariosfinales.Rossibel: Claro, Claro! Pero si con todo lo que hemos comentado hoy,sabiendo que ZOOM sigue haciendo cambios en pro para liberarse devulnerabilidades y hasta de prohibiciones en diferentes países, ¿quéaplicación podrías recomendar distinta a ZOOM para hacer videollamadasgrupales?.Jean: Que yo pueda decirte, esta es la más segura en realidad no lopuedo hacer, porque hoy te puedo recomendar una y mañana sale unavulnerabilidad que la afecta. Hay muchas aplicaciones, Skype,Microsoft Teams, Cisco Webex, Facetime, Google Meet, Google Duo, menosconocidas como: BlueJeans, Zoho, Lifesize, Intermedia AnyMeeting,GoToMeeting, RingCentral Meetings, entre otras y solo tu decides cualcumple tus expectativas de Seguridad.Rossibel: Estoy seguro que todas estas recomendaciones serán de gran utilidad para muchos, ha sido un episodio más que completo.En el siguiente aprenderemos a como mejorar nuestras contraseñas ya que hasido una de las recomendaciones hechas.Jean: Pueden encontrarnos en redes sociales como:Rossibel: www.facebook.com/concienciavirtualJean: En instagram como @concienciavirtualRossibel: y en Twitter como @concienciavirtJean: Para contenidos similares como este puedes irte a la Liga.Fm endonde encontrarás podcast amigos.Rossibel: de este lado nos despedimos. Quienes te acompañamos en este viaje para geeks y no tan geeks, Jean Carlos Gutierrez y Rossibel García. Seguiremos compartiendo mas conciencia virtual.Jean: y no me queda más nada que decir que: Un Saludo y un Abrazo Virtual.